为什么 IUSR 对 wwwroot 没有权限

为什么 IUSR 对 wwwroot 没有权限

我正在尝试了解 IIS 8.5 用户帐户模型。

国际用户协会:默认匿名用户(可更改)。它是请求网络资源的身份

应用程序池标识:用于应用程序池的特殊身份

IIS_IUSRS:它是所有特殊 ApplicationPoolIdentity 所在的组

IIS_IUSRS 对 wwwroot 文件夹具有读取/执行权限

我不明白为什么 IUSR 对 wwwroot 文件夹没有任何权限

任何 Web 请求怎么可能不导致 401 错误???

答案1

如果你看一下默认权限C:\inetpub\wwwroot

BUILTIN\IIS_IUSRS:(RX)
BUILTIN\IIS_IUSRS:(OI)(CI)(IO)(GR,GE)
NT SERVICE\TrustedInstaller:(I)(F)
NT SERVICE\TrustedInstaller:(I)(OI)(CI)(IO)(F)
NT AUTHORITY\SYSTEM:(I)(F)
NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
BUILTIN\Administrators:(I)(F)
BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(RX)
BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)

您可以看到该Users组具有读取权限,独立专家自动成为该组的成员Users,这就是它可以访问文件的原因。

如果你删除权限,Users你应该得到一个401.3

答案2

因为账号是凭借群组IUSR放进群组的。usersNT Authority\Authenticated Users

这两个主要由于遗留原因而存在,但却服务于两个不同的目的。

  • IUSR账户用于匿名认证
  • IIS_IUSRS组用于允许应用程序池用户进行安全控制

有一些历史记载还有一些不错的有关 IUSR 帐户使用情况的信息它的前身是IUSR_计算机名称可用的。

相关内容